Quem são e qual a importância dos agentes de tratamento de dados
A Lei nº 13.709, de 2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais, dispõe sobre o tratamento de dados pessoais em qualquer meio (físico ou digital) realizado por pessoa física ou jurídica, de direito público ou privado, visando a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Nos termos de seu art. 5º, a LGPD conceitua tratamento de dados pessoais como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
E quem seriam então os responsáveis pelas “operações realizadas com dados pessoais”? É nesse ponto que entram as figuras dos agentes de tratamento: o controlador e o operador.
Art. 5º Para os fins desta Lei, considera-se:
(…)
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Assim, o tratamento de dados pessoais envolve a figura de dois agentes, sendo um, o controlador, o responsável pela tomada de decisões acerca das operações que serão realizadas e o outro, o operador, aquele que agirá em nome do controlador, executando as determinações recebidas.
Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Cabe aqui ressaltar que, uma pessoa, seja ela física ou jurídica, pode ser ao mesmo tempo controlador e operador. Isso porque, a determinação dos agentes de tratamento se dá por processo envolvido. Uma empresa pode ao mesmo tempo exercer o papel de controladora e de operadora de dados pessoais. Será controladora em relação aos dados pessoais de seus funcionários e colaboradores uma vez que realiza a sua coleta quando da contratação e determina quais serão as operações realizadas com referidos dados. Por outro lado, a mesma empresa pode assumir o papel de operadora quando, por exemplo, realiza serviços terceirizados operando dados pessoais exclusivamente a comando do controlador.
Mas, é preciso ter cuidado. Se uma empresa que, a princípio, para uma atividade específica, assumiu a figura de operador de dados pessoais tomar qualquer decisão acerca de seu tratamento, contrapondo-se às decisões do controlador ou, ainda, realizando o tratamento em desconformidade com a LGPD, assumirá as vezes de controlador e, como tal, arcará com as responsabilidades a ele atribuídas pela legislação.
Tal situação pode ser verificada no artigo 42 e seu §1º, da legislação de proteção de dados pessoais:
Art. 42. (…)
I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
Ainda, no que se refere às responsabilidades, há bastante controvérsia sobre a aplicabilidade da responsabilidade objetiva ou subjetiva dos agentes de tratamento de dados pessoais, pois, muito embora a lei traga em seu art. 42, a responsabilidade objetiva entre os agentes, em seu art. 43 prevê exceções à responsabilização que dependeriam da demonstração de culpa, característica essencial para a configuração da responsabilidade subjetiva dos agentes de tratamento.
E quanto às obrigações das figuras dos agentes de tratamento de dados pessoais? A LGPD atribui maior carga de obrigações ao controlador, limitando, ao operador, apenas seguir as instruções do controlador, transmitir informações relevantes ao controlador, prestar contas, registrar as operações de tratamento de dados e tomar todas as medidas de segurança da informação necessárias à proteção dos dados pessoais.
No que se refere ao controlador, a lei não elenca de forma organizada quais seriam as suas obrigações, no entanto, é possível distingui-las no corpo da lei, ressaltando-se:
- Atribuição de base legal;
- Indicação do encarregado de dados;
- Realização de relatório de impacto à proteção dos dados pessoais;
- Obrigação de provar o consentimento do titular quando essa for a base legal aplicada;
- Tomar todas as medidas de segurança da informação para proteção dos dados pessoais;
- Realizar o registro das operações de tratamento de dados;
- Cumprir os direitos dos titulares;
- Transmitir instruções ao operador;
- Prestar contas; e
- Comunicar os incidentes de segurança à ANPD e aos titulares dos dados pessoais.
Dessa forma, é de extrema importância que, dentro de uma organização sejam atribuídos de forma clara quais os papéis desempenhados em cada processo de forma a estabelecer as responsabilidades e obrigações e garantir a conformidade com a legislação de proteção de dados pessoais.
Karina Furquim da Cruz
Especialista em Direito Direito Digital e Proteção de Dados
Sócia do escritório Karina Cruz Advocacia